PSAD-Installation und -Konfiguration auf Debian 8 (Jessie)

In diesem Tutorial zeige ich Ihnen die Installation und Konfiguration des PSAD (Port Scan Attack Detection)-Tools auf Debian 8 (Jessie). Gemäß Projekt-Website: PSAD bietet Intrusion Detection und Log-Analyse mit IP-Tabellen (Linux-Firewall). Mit dem PSAD-Tool wird ein IDS (Intrusion Detection) System in ein IPS (Intrusion Prevention System) umgewandelt. Die VM oder der Server wird vom Tool kontinuierlich auf aktive Angriffe wie Port-Scans überwacht und kann bösartige IP-Adressen in der Linux-Firewall automatisch blockieren. Ein weiteres ähnliches Projekt ist Guardian, das nur sehr begrenzte Funktionen bietet. PSAD wird auf einer Debian-8 (Jessie) VM installiert und das Scan-Tool „Nmap“ wird verwendet, um offene Ports auf der VM zu überprüfen. Am Ende wird ein DOS-Angriff auf den Webserver (Apache) gestartet, um das Verhalten des PSAD-Tools zu sehen.

PSAD-Installation

Debian Jessie wird auf der VMware VM mit dem Net-Installer (debian-8.3.0-i386-netinst.iso) installiert.

Installieren der virtuellen Maschine für PSAD

Der Debian-Installationsprozess ist im vorherigen Artikel beschrieben: Die IP-Adresse des PSAD-Rechners lautet 192.168.1.102/24.

Überprüfen Sie die IP-Adresse.

Das PSAD-Tool kann aus dem Quellcode oder aus dem Debian-Paket-Repository installiert werden, ich werde es aus dem Debian-Repository installieren. Fügen Sie zunächst folgendes in die Datei sources.list ein (oder überprüfen Sie, ob die Zeilen bereits vorhanden sind) und führen Sie den Befehl apt aus, um die Repository-Liste zu aktualisieren.

deb http://httpredir.debian.org/debian jessie main
deb-src http://httpredir.debian.org/debian jessie main

deb http://httpredir.debian.org/debian jessie-updates main
deb-src http://httpredir.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

Der Inhalt der Debian-Quelldatei.list.

Quellenliste für Debian Jessie

apt-get update

Aktualisierung von Debian

Führen Sie den folgenden Befehl aus, um PSAD in der VM zu installieren.

apt-get install psad

PSAD installieren

Bei der Installation des PSAD-Tools werden mehrere Perl-Pakete benötigt. Die Paketabhängigkeiten werden vom Debian-Paketmanager automatisch aufgelöst.

PSAD-Abhängigkeiten installieren.

Die Firewalling-Funktion auf der Linux-Plattform wird durch das Paket IPtables bereitgestellt. Es ist eine bekannte Linux-Firewall und bereits in allen Linux-Distributionen installiert.

IP-Tabellen prüfen.

PSAD- und Firewall-Konfiguration

Standardmäßig gibt es keine Regeln in den IP-Tabellenketten auf der Debian-Plattform. Führen Sie den folgenden Befehl aus, um Regeln für Ketten aufzulisten.

iptables -L

IPTables-Ketten.

Aktivieren Sie die Anmeldung an den Eingabe- und Weiterleitungsketten von IP-Tabellen, damit der PSAD-Daemon jede anormale Aktivität erkennen kann.

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Protokollierung in IPTabellen aktivieren.

Die Ausgabe des Befehls „iptables -L“ wird ähnlich sein, wie unten gezeigt.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level warning
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Zeigt die IPTables-Konfiguration an.

Auf der Debian-Distribution speichert das PSAD-Tool Konfigurationsdateien und Regeln im Verzeichnis /etc/psad.

das PSAD-Konfigurationsverzeichnis.

Die Hauptkonfigurationsdatei von PSAD ist /etc/psad/psad/psad.conf. In diesem Tutorial wird die IPS-Funktion verwendet, um DOS-Angriffe auf den Webserver zu erkennen.

Die Grundeinstellungen für PSAD sind im Folgenden aufgeführt.

EMAIL_ADDRESSES   [email protected]; 
HOSTNAME          PSAD-box;
HOME_NET          any;
EXTERNAL_NET      any;

Die PSAD-Konfigurationsdatei - Teil 1.

Die Standardeinstellung des Gefahrenniveaus, des PSAD-Prüfintervalls und der Verwendung der SID ist in der folgenden Abbildung dargestellt.

Die PSAD-Konfigurationsdatei - Gefahrenstufen.

Standardmäßig sucht der PSAD-Daemon nach Protokollen in der Datei /var/log/messages. Ändern Sie daher den Parameter IPT_SYSLOG_FILE in der PSAD-Konfiguration.

Die PSAD-Konfigurationsdatei - Logdatei zum Lesen.

Debian-basierte Distributionen speichern Syslog-Meldungen in der Datei /var/log/syslog.

 ENABLE_SYSLOG_FILE   Y;
 IPT_WRITE_FWDATA      Y;
 IPT_SYSLOG_FILE       /var/log/syslog;

Die PSAD-Konfigurationsdatei - Log.

Standardmäßig arbeitet PSAD im IDS-Modus, der IPS-Parameter ist in der Konfigurationsdatei deaktiviert, aktivieren Sie die folgenden Parameter, um das IPS-Feature und die Gefahrenstufe zu aktivieren. Nachdem der Parameter in der Konfigurationsdatei aktiviert wurde, blockiert der PSAD-Daemon den Angreifer automatisch, indem er seine IP-Adresse in die IP-Tabellen-Ketten einfügt.

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;

Die PSAD-Konfigurationsdatei - IDS aktivieren.

Führen Sie nun den folgenden Befehl aus, um die Signaturdatenbank zur Erkennung von Angriffen zu aktualisieren.

psad --sig-update

Aktualisierung der PSAD-Signatur.

Derzeit lauscht der Apache-Server auf Port 80, wie unten gezeigt.

Überprüfen Sie, ob der Apache lauscht.

Starten Sie PSAD mit dem folgenden Befehl und überprüfen Sie den Status.

psad start

Start PSAD.

psad -S

psad -S

Ein DOS-Angriff wird mit dem LOIC-Tool (Low Orbit Ion Cannon) auf der VM gestartet, um PSAD wie unten gezeigt zu testen.

Simulieren eines DOS mit Loic

Syslog zeigt den mit dem LOIC-Tool erzeugten DOS-Verkehr.

Zeigt den Traffic in syslog an.

Die IP-Adresse des simulierten Angreifers 192.168.1.100 wird vom PSAD-Daemon wie unten gezeigt blockiert. Führen Sie den folgenden Befehl aus, um die von PSAD hinzugefügten dynamischen Regeln anzuzeigen.

psad --fw-list

psad --fw-liste

Der folgende Screenshot zeigt, dass der Angreifer die IP-Adresse des Opfers nicht mehr pingen kann, so dass er von PSAD erfolgreich blockiert wurde.

Angriff erfolgreich abgewehrt.

Führen Sie den folgenden Befehl aus, um die detaillierte Ausgabe von PSAD zu sehen.

psad -S

1. Signaturabgleich und Angreifer-IP-Adresse

Unterschrift des Angreifers.

2. Traffic für bestimmte Ports

Angegriffene Ports.

3. die IP-Adresse des Angreifers in den Ketten der IP-Tabellen.

Die IP-Adresse des Angreifers.

4. Details zur Kommunikation zwischen Angreifer und Opfer.

Kommunikationsdetails.

Fazit

PSAD ist ein bekanntes Open-Source-Tool zum Blockieren von Port-Scan-Angriffen auf Linux-Server. Es verfügt sowohl über IDS- als auch über IPS-Funktionen und ist in der Lage, bösartige IP-Adressen dynamisch über IP-Tabellen zu blockieren.

Das könnte dich auch interessieren …